我彻底弃用内网穿透了，不是因为内网穿透不好，而是环节越少越好

neroxps

ciasdmxhxjjpd@c 发表于 2022-6-5 10:14
no, 直接把 8123 开放在公网，分分钟被黑吗？建议限制下访问 ip，限制admin外网登录。 ...

emmm 内网穿透和公网ip放8123本质不是一样的吗？
要安全还是 隧道回家。

https://www.v2ex.com/t/857058
再放一个最近 v2ex 看到的帖子。现在都卷成啥样了。

tangxingjie1991

花蟋蟀 发表于 2022-6-5 14:47
你这相当于........能有公网IP的条件谁会用内网穿透

说到点上了

gungda

ghostist 发表于 2022-6-5 23:32
嗯...楼上各位都没中过勒索病毒啊
小弟公司有动态公网，某个9月30日下班的时候图省事，把服务器远程端口开 ...

企业环境根本不是开不开端口这些的问题。内网渗透，大多数原因还是来自其余人员。勒索什么的...断网也是有可能中的。自己做再好，企业一旦有搞不清楚的成员，结果还是一样。至于脱光...现在白帽已经很好了。XP时代那才是一个脱光，攻破一整个内网也要不了多久。社工逻辑加上密码强度不够，最终才造成了被提权。而且...企业只要开放wifi依旧有可能被内网渗透..混杂的网络就更不用说了。现在的梯子其实也在有意无意的泄漏密码，当年大规模邮箱密码泄漏，这才是脱光...根据邮箱来查询历史密码制作字典。网上还有一种东西..密码库，hack共享被攻破的帐号密码+网址。脱光不是一时半会的事情，是暴露在网络上的长期行为记录。环境都是一样的，使用习惯和逻辑才导致出现漏洞....   现在对白黑帽误解很深啊..........

sirakawa

neroxps 发表于 2022-6-6 03:17
emmm 内网穿透和公网ip放8123本质不是一样的吗？
要安全还是 隧道回家。

+1，所以不公开除了v以外任何端口，有啥需要直接连回家里。

其实还有头两年盛传的那个上海电信把群晖之类的网页端口判定成开网站签承诺书这种。。。

pikaq

放弃内网穿透没问题，但是说环节越少越好就是不客观了，最起码的一点，各种http服务，每个都单独放开的话，要暴露多少端口，而且http是明文的，你要说ha也能设置走https，但是每个服务都单独部署增加了维护成本，所以加一层nginx反代，统一端口和https，不比你少这一层好？另外有ipv6的情况下我再套一层frp也是有目的的，nginx我是docker部署的，容器里面不支持取到ipv6客户端ip我也不想折腾docker或者宿主机部署nginx，直接再套一层frp就能实现。总之适合自己的就是最好的，你没能力驾驭多个环节就舍弃环节没问题，但直接说是环节越少越好就不客观了。

luyuheng

frp挺好用的，定向反代理8123端口，其他全在内网

yinghu183

pikaq 发表于 2022-6-6 13:26
放弃内网穿透没问题，但是说环节越少越好就是不客观了，最起码的一点，各种http服务，每个都单独放开的话， ...

一样nginx反代，把HA的端口换了再加上https，纯就感觉套一层安全些，真要讲其实我啥也不懂。。。。

youquan

有公网ip谁去用内网穿透呢！

huangqc

yinghu183 发表于 2022-6-8 19:47
一样nginx反代，把HA的端口换了再加上https，纯就感觉套一层安全些，真要讲其实我啥也不懂。。。。 ...

同样Nginx反代+改端口+https。ssh改端口+用秘钥对登录